>>49
$ nslookup - localhost
> google.com
Server: localhost
Address: 127.0.0.1#53
Non-authoritative answer:
Name: google.com
Address: 66.249.89.99
Name: google.com
Address: 66.249.89.104 cnetos 5.5 (x86_64)
bind 9.3.6-4.P1.el5_4.2
service named restart
をすると
Error getting active value for named_write_master_zones
という警告が出るんだけど、再起動は問題なくできている。設定も反映されます。
設定関連はちゃんとできてると思うが、ググってもズバリというようなソース見当たらないので
どういう関連のエラーかわかる方いますか?
このサーバはmasterzoneもslavezoneも持っているので、推測するにmasterから変更があったが、slaveとして書き換えできなかったというエラーなのかな?
selinuxはpermissivなのでそっち関連は大丈夫だと思います。
zonefileに関してはかなりの数があり、全部私が設定してないので問題ないとは自信持って言えないが、出力ログを見る限り、該当するものの詳細は見当たらず。
同様なエラーメッセージに遭遇し、解決した方いらしたら、ご教授ください。 nslookup www.valinux.co.jp
とすると、
connection refused resolving 'fsv.valinux.co.jp/A/IN': 210.128.90.2#53
とmessagesに出てきてしまうんですが、これはどういう意味なのでしょうか?
宜しくお願い致します。 >>53
そのドメインの設定ミスだから気にスンナ。
上位(JPRS)にはvalinux.co.jpのネームサーバの一つとして
ns2.valinux.co.jp(210.128.90.2)が登録されているけど、ns2には
valinix.co.jpの設定がない(もしくは設定ミスの)ため拒否されてるだけ。 >>54
ありがとうございます。
その ns2... って dig valinux.co.jp ns しても出てこないみたいなんですが、
教えて頂けないでしょうか・・? >>55
$ whois -h whois.jprs.jp valinux.co.jp
$ whois -h whois.jprs.jp ns2.valinux.co.jp ん・・。ありがとうございます。
bindって色々調べて結果返してるんですね。 NAT環境内でbind9によりDNSサーバを動かしています。
ルータの設定でもbind9用のポートは閉じています。
allow-query,allow-recursionの対象をLAN内のPCのみとしているので
jail化する必要はないと考えていますが、いかがでしょうか?
よろしければご教授下さい。 >>58
allow-*とjailは別々のセキュリティ対策だよ。
外部からの不正な問い合わせを何重もの防御で守りたいのなら、
jailではなくipfwなどで自力でポートを閉じるべきだ。
jailは万が一セキュリティホールが突かれたとき、
システム側に不正な要求を投げさせないのが目的だから、
それはそれで必要性を判断して設定すればいい。 アドバイスありがとうございます。
こちらが言葉足らずでした。
NAT内だけでの運用なので、システムが占拠される心配はないと考えたので
jailは不要ではないかと判断した次第です。
よく、何重にも対策をしておく方が良いと言われますが、労力が割かれてしまう
ので迷う所です。
現状、named.conf.optionsの設定に気を配る程度です。
allow-queryやallow-recursion, version "unknown"辺りでしょうか。
それと、ipfwというものを調べてみましたが、ファイアウォールなのですね。
私はルータをファイアウォールとして使用しています。
webサーバとファイルサーバを外部に公開したいと考えていますが、今のと
ころ未公開です。ポートも閉じています。。
上記を考慮した場合、jail化は必要なのでしょうか?
また、他に推奨のセキュリティ対策など教えて頂ければ幸いです。 bind9.7.1-P2をインストールしようとしているんですが、
下記2点についてうまくいっていません。分かる方助言をお願いします。
1.Microsoft Visual C++ 2005 Redistributableインストール時に
「Command line option syntax error. Type command/? for Help.」
というエラーメッセージダイアログがでてインストール失敗する
2.上記の失敗からか、「C:\Windows\System32\dns」フォルダが作成されない すみません。環境はWindows 7 Ultimate 64ビットです。 今までCentOS5.4で自鯖立ててて
yum updateで5.5相当にして使ってたんだけど
今回サーバー用HDDの容量アップのために
クリーンインストールでCentOS5.5入れて自鯖セットアップしなおしたんだけど
bindをどう設定して、bindを起動してもnamed/confにエラーがあると出る
ちなみに再インストール前のbindの設定をバックアップ取ってたので
それをコピペしてみてもダメ
bindの新しいバージョンってなんか設定方法とか変わったの?
named.confの設定はこんな感じなんで
おかしいとこあったらどこがおかしいか教えてください。
options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { localhost; localnets; };
forwarders{
192.168.24.1;(プレミアムのCTUのプライベートアドレス)
XXX.XXX.XXX.XXX; (インターリンクのプライマリーDNSのIPアドレス)
XXX.XXX.XXX.XXX; (インターリンクのセカンダリーDNSのIPアドレス)
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};
view "internal" {
match-clients { localnets; };
match-destinations { localnets; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};
view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.xxx.com.zone.wan" >>63
パッと見、問題なさそうだが、肝心のエラー内容は?
エラーとは直接関係ないはずだけど、これはコメントアウトしろよ。
query-source port 53;
query-source-v6 port 53; >>63
最後の行は
include "/etc/named.xxx.com.zone.wan"
で終わりなの? 教えて下さい。
DIG で ANSWER SECTION に きちんとIPが返ってきているのに、
# dig www.domain.local a
PINGを実行してもUnknown host になってしまうのなぜでしょうか?
# ping www.domain.local
ちなみに ドメインを指定しないと きちんと返ってきます。
# ping www
環境
debian lenny
bind9
DNSを設定したマシン自体にwwwと名前をつけています。
/etc/resolv.conf には nameserver 127.0.0.1 とし、
他のnameserverは設定していません。
他のマシンからは正しくping が通ります。
インフラ詳しくないので、チェックの方法等、助言頂けると幸いです。
よろしくお願いします。 66です。
いろいろ試してみたところ、
bind側ではなく、OS側に問題がありそうです。
理由は以下の3点です。
1.他のマシンからのpingは通る。
2.dig, nslookup は問題ない
3.設定しているマシンのresolv.confに他のDNSを指定してもFQDNでpingできない
debian板で聞いてみることにします。
ありがとうございました。 友人の所で間借りしてたドメインを自鯖に移したんですが(ムームー)、なぜか1週間以上たった今も
digをすると、前の鯖のIPが出ます。
HPドメインのhogehoge.comだけが前のIPになっていて、サブドメインのmail.hogehoge.com等は
新しいIPに変わってます。
どこが悪いとこうなるんでしょうか? ID更新してないだけとふんだ
なんかruドメインの名前解決が大量にログに残ってて気持ち悪いんだけど何が起きましたか? winodws版のBINDでちょっと疑問。
8.8.8.8にforwordさせて、ローカルにも保存する場合confにどう記述すれば良いの?
紹介サイトで記述の仕方が違うから理解できない。 >>71
何を保存するの?
そもそも日本のユーザが8.8.8.8を指定してもメリットはないよ テストする意味で8.8.8.8にして見たけどプロバイダのでも良いんです。
windowsの標準のDNSクライアントみたいにドメイン名とIPをキャッシュさせたいです。
もしかすると実はもうキャッシュされているのでしょうか。
named.conf,
named.root.
見よう見まねで記述してるので自信がありません。 プロキシーとか代理応答とかキャッシュとかそういう話? 普通に設置してoptionsにforwardersとforward onlyで丸投げでいいんじゃない?
あとrecursion yesとか? 勉強のためubuntu上にてvirt-managerでubuntu10.04のDNSの構築してみてるんだけど
今slaveサーバ設置してゾーン転送させようとしてるとこでうまくいかない
マスター側は192.168.122.11、スレーブ側は192.168.122.12
マスター側のnamed.confのzoneステートメント(とaclステートメント)は
acl "Slave" {192.168.122.12;};
zone "122.168.182.in-addr.arpa"{
type master;
file "122.168.192.rev";
allow-transfer{Slave;};
notify yes;};
スレーブ側は
acl "Slave"{192.168.122.12;};
zone "122.168.192.in-addr.arpa"{
type slave;
file "bak/122.168.192.rev";
masters{192.168.122.11;};
allow-transfer{Slave;};};
コピペじゃないけど再起動もできるので書式のミスは無いはず
スレーブ側bindを再起動すればスレーブ側のゾーンファイルを消しとくとちゃんと転送されるけど
ゾーンファイルがあるとマスター側で更新されててもスレーブ側はbind再起動しても更新されない
よろしくお願いします 小出しで申し訳ないけれど最後の方日本語おかしかったから
つまりマスター側でゾーンファイルを編集保存しただけでスレーブ側にも
反映(ゾーン転送)してほしいのに、編集保存してからマスター側のbindを再起動して、
スレーブ側にある古いゾーンファイルを消したうえでスレーブ側のbindを再起動しないと
ゾーン転送してくれないということ、どうすればいいんでしょか >>78
ゾーンファイルのNSレコードにスレーブサーバを登録してる? レスありがとうございます
>>80
シリアル更新はしてます
emacsのDNSモードなので編集保存すると自動で変わってくれます
>>81
登録してます
マスターのゾーンファイルを編集してからゾーン転送されるまで普通はどれくらい時間掛かりますか?
僕の頭の中ではSOAレコード第4パラメータの時間+15分弱です
それとnotify yesはSOAレコード第4パラメータ無視して更新したら15分弱で転送するって認識で合ってますか
今わかりましたがマスター側のbind再起動してしばらく待ってると
スレーブ側はゾーンファイル残して再起動もせずともゾーン転送してくれました
マスター側のbind再起動すればできるってことはマスター側のnamedがゾーンファイルの更新を
監視してくれてないとか、そういうのは無いですか?何々起動しないと監視してくれないとか
てかそもそもゾーン転送以前にbind再起動無しでゾーン情報更新してくれてた気がしない
問題はそこな気がします、どうすればbind起動中にemacsやらでゾーンファイル弄ったのを
シリアルを確認して感知するのか、このシリアルを確認するのはnamedプロセス?namedはしっかり起動しています
ps aux|grep named
bind 3284 0.0 2.0 43892 10432 ? Ssl 07:37 0:00 /usr/sbin/named -u bind
hoge 3302 0.0 0.1 2884 808 pts/0 S+ 08:16 0:00 grep --color=auto named
またですがアドバイスよろしくお願いします >マスターのゾーンファイルを編集してからゾーン転送されるまで
自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。
話からするとnotifyがスレーブ側に届いていないようなので、
>>81
だと思うんだけどね。
NSレコードでスレーブ鯖の記述が間違ってないか、
マスタ側でNSレコードをdigしてみて、
それでもダメならマスター側で以下を追加してみてはどうだろうか。
also-notify { slave鯖のIPアドレス; }; >自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。
あぁごめん、一部見逃して書いてた。
マスタ側だけはゾーン情報を更新したらbindの再起動は必須だよ。 >>84
そうでしたか、それならこれで合ってたんですね
ちなみに再起動ではなくHUPシグナル送ったりrndc reloadしたりでも
ゾーン情報更新してくれるみたいです、これで数分以内にはスレーブ側も更新してくれました
ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました
ありがとうございました!! >ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました
コンピュータ関係の間違いの大部分を占める「勝手な思い込み」の典型
俺が経験したクレームで「パスワードを変更したらメールサーバにつながらなくなった」ってのがあったが
結局、旧パスワードを削除せずに新パスワードを続けて書いたのが原因
「新しいパスワードをちゃんと設定しましたってば!」
うん、そうだね、したね
でもこっちの質問「どのようにですか?」「パスワードは何文字になってますか?」には頑なに答えてくれなかったね
コンピュータにはピンポイントで肝心な部分の情報を隠蔽させる魔力があるんだろうね はじめての書き込みです さっそく
named.conf.options: // forwarders {
というのがあってこれ以下にプロバイダー側のサーバを書くのですが
具体的に何を書くのか分かりません。教えてください。
なお環境としてはglobalIP1
質問1:
候補1 : 回線会社(NT*ですが)のDNS?(使用する地域の接続ポイント)
候補2 : プロバイダ(Info*****)のDNS
候補3 : ドメインの管理会社のものでしょうか?
質問2:
ま上記の3つを最低3行を併記しても良いものでしょうか? >というのがあってこれ以下にプロバイダー側のサーバを書くのですが
と自分で書いてるんだからプロバイダのDNSでしょ。
>ま上記の3つを最低3行を併記しても良いものでしょうか?
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。
NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。
ドメイン管理会社にもDNSは持ってるだろうが、
そこにドメイン情報を設定していないと意味はない。 さっそくども
>>というのがあってこれ以下にプロバイダー側のサーバを書くのですが
>と自分で書いてるんだからプロバイダのDNSでしょ。
プロバイダー側と書いてあるとおりプロバイダーとは限定した質問では
ありませんでした。プロバイダー側の3つからどれかという質問の意図でした。
プロバイダー限定なわけですね。
>ま上記の3つを最低3行を併記しても良いものでしょうか?
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。
>NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。
フレッツはDNSではない接続をしているようですが、そこのDNS達につなぐ
のも手なのかなとも考えたわけです。
>ドメイン管理会社にもDNSは持ってるだろうが、
>そこにドメイン情報を設定していないと意味はない。
そこでは保有しているべきものではないのでしょうか?
これ設定しないとドメイン登録できないし・・・
もし、管理会社が登録していないとなるとどこに?
もっと上流のどこかが保存管理しているということな? >>91
あぁごめん、説明を端折って書いたから余計混乱させてしまったか。
今回bindで設定する意図はキャッシュサーバーを立てる事なのか、
自分が取得したドメインの運用のためかによって話は変わってくるけど、
forwarderはキャッシュサーバーの用途なのでドメインの運用とは関係ないからね。
まだドメインが取得できていないのであれば
お名前.comやValue Domainとかの大手でドメインを取得して
レジストラが用意するネームサーバを利用するといいんじゃないかな。
これらの業者は自分でネーム鯖を用意せずにドメインを運用する事ができるよ。
さすがにレジストラというのはどういう所かくらいは自分でぐぐってね。
>>92
東日本と西日本で違うみたい。
ttp://www.sphere.ne.jp/support/guide/setvalue/#a050 一応補足。
お名前.comやValue Domainというのがレジストラね。国内だと大手だと思う。 レジストラの指定している管理サーバーは ***.***.jp となっています。
すると forwarder には その***.***.jp を入れるべきでしょうか?
いまいち分からない。
一応やってみた restart すると [fail] になる。
だから数字だけしか通用しないようです。あたりまえ?
改めて知りたいですが
「ドメインは取得した、それから内向きのDNSを作る」には
レジストラのDNSを入れるべきでしょうか?
それともそのレジストラのDNSの数字のGIPを入れるべきでしょうか?
それともキャッシュ用のDNSのようにプロバイダー指定のDNSのGIPが良いのでしょうか? 基本的にforwarderいらないでしょ
何か目的があってやるにしてもレジストラは関係ない
ISPの指定したDNSに投げればいい この前 forwarder 使わ無い方式は危ないといわれて しかたなし使っているのですが
ところで、4種
1、 forwarder する場合で、ドメインを持っている場合でも ISPのDNS にするのですか?
2、 forwarder する場合で、ドメインを持ってない場合でも ISPのDNS にするのですか?
3、 forwarderしない場合で、ドメインを持っている場合でも ISPのDNS にするのですか?
4、 forwarderしない場合で、ドメインを持ってない場合でも ISPのDNS にするのですか?
しつこくてすみません どうも理解できなくて 自宅にDNS設置してんだろ?
そこに問い合わせるのは誰よ?
レジストラのDNSを利用しろと言ってるのは
自前のドメインの問い合わせ先を自宅じゃなくてそこにすればと言ってるのであって
forwarderはそれらと全く関係ない。
forwarder先は本来別の場所に設置してある自前のDNSにするんだろうが、
そんなものが無いなら、自宅が接続してる一番近いISPのDNSにするだろ。 JAPAN IS MONKEY PALACE~~~~~
NANANANANANANANANANANANANANA
なななななななななななななななななななななななななななななななな
ばかばかばかばがばかばかばかばかばかばかばかばかばかばがばかばか
ちっしおちっしおちっしおちっしおちっしおちっしおちっしおちっしお 借りているVPSサーバ(CentOS5.5)を使用してプライマリのDNSサーバを構築しようとしています。
LANのIPアドレス(192.168.〜など)が無いのですが、「内向きのゾーン設定」というものは必要になるのでしょうか?
また、必要な場合は127.0.0.1で代用して設定してもよいのでしょうか?
いろいろなサイトを参考に試行錯誤しているのですが、192.168〜なしの設定が見あたらず困っています。
初めてのDNSサーバ構築なのでトンチンカンな質問だったらすみません。
アドバイスをいただければと思います。 
